Académique Documents
Professionnel Documents
Culture Documents
Mémento
Contributeurs :
Jean-Luc ALLARD
Anne COAT-RAMES
Jean-Louis FLEISCH
Matthieu GRALL
Cyril MOURLON
SAGEM SECURITE (Loïc BOURNON)
TEAMLOG (Jean-Jacques BUREAU)
Contributeurs invités :
Lydie BRONDEL, du ministère de l'Économie, des finances et de l'industrie
David GUENEZAN, de THALES SECURITY SYSTEM
Sandrine LAFFAURIE, d'EDELWEB
Les commentaires et suggestions sont encouragés et peuvent être adressés à l'adresse suivante
(voir formulaire de recueil de commentaires en fin de document) :
Club EBIOS
72 avenue Gaston Boissier
78220 VIROFLAY
contact[at]club-ebios.org
INTRODUCTION ..................................................................................................................................... 5
CONTEXTE DE RÉDACTION...................................................................................................................... 5
1.3 LA GESTION DE LA CONTINUITÉ PERMET DE TRAITER LES INCIDENTS ET LES CRISES ...................... 7
4.3 L’APPRÉCIATION DES RISQUES LIÉS À LA CONTINUITÉ DES ACTIVITÉS (BIA) ................................ 12
ANNEXES ............................................................................................................................................. 21
ANNEXE 2 – ACRONYMES..................................................................................................................... 29
ANNEXE 8 – LES INTERACTIONS ENTRE LES ACTEURS DE GESTION DE LA CONTINUITÉ DES ACTIVITÉS ....... 46
Gestion du PCA ............................................................................................................................ 46
Gestion d’un incident ou d’une crise............................................................................................. 47
Introduction
Contexte de rédaction
Aujourd’hui, les interactions entre organismes augmentent et les délais se raccourcissent. Les
organismes sont de plus en plus dépendants par rapport à leur système d’information. L’indisponibilité
du système d’information peut engendrer de lourdes conséquences pour une entreprise telles qu’une
incapacité à fournir un service, une perturbation de fonctionnement de tiers, une perte de l’image de
marque et des pertes financières pouvant aller jusqu’au dépôt de bilan. La gestion de la continuité des
activités apparaît donc comme un enjeu majeur pour assurer la survie d’un organisme.
Une étude des différents documents relatifs à la continuité des activités a permis de mettre en
évidence des divergences de notions, la présentation de plans de continuité variés et l’utilisation d’un
vocabulaire non homogène sans rattachement à des normes internationales existantes.
Objectif du mémento
Ce mémento a notamment pour objectif de s’accorder sur les termes en se rapprochant du référentiel
de la DCSSI et les normes en cours [A détailler]. Il fixe les différents processus de la gestion de la
continuité et présente les divers plans associés (contenu, domaine d’application, positionnement,
acteurs concernés). Ce mémento fait référence à des guides de meilleures pratiques permettant de
mettre en place au sein de l’organisme un système de gestion de la continuité des activités via la
méthode de gestion des risques [EBIOS].
Ce document s’adresse aux responsables de la sécurité des systèmes d’information du secteur public
ou privé souhaitant mettre en place dans leur organisme un système de gestion de la continuité de
leurs activités essentielles.
Contenu du mémento
Ce mémento présente les concepts liés à la continuité des activités (chapitre 1) et leurs places dans la
SSI (chapitre 2). Les activités propres à la gestion de la continuité sont ensuite présentées selon 4
phases itératives (chapitre 3). Le référentiel (chapitre 4), l’organisation (chapitre 5) et les outils
associés sont ensuite développés.
Des annexes complètent le document par un glossaire, les acronymes, les références
bibliographiques et un ensemble d'explications pratiques.
Fonctionnement de l’organisme Activation des plans de continuité concernés (plan de Pérennité de l’organisme
crise) Impact à long terme.
arrêté potentiellement remise en cause.
Mise en place de la cellule de crise
Activation du site alternatif éventuel
Maintenant que nous nous sommes entendus sur la notion de gestion de la continuité, les différents événements et l’échelle de niveau de continuité, nous
allons découvrir comment s’articule la continuité dans la sécurité des systèmes d’information.
Livrables Livrables
Planifier
Implémentation
Maintenance
Vérifier
Livrables Livrables
Plan de traitement des risques Historique des exercices
Documents de communication Rapport / Plan des tests et audits
Tableaux de bord SSI Tableaux de bord SSI complété
Evénements documentés
1
Le Plan de traitement des risques couvre les mesures en amont et en aval.
Le tableau ci-dessous présente les activités de la gestion de la continuité dans un processus continu
de gestion de la SSI. Ces différentes activités sont décrites en Annexe 4.
Les différents types de procédures, le contenu d’un plan de continuité et une liste d’exemples sont
présentés en Annexe 5.
4.8.1 Description
Ce document répertorie séquentiellement, par activité, les différents types de risques (incidents ou
crises) par niveaux de gravité (hiérarchisation à partir des besoins en continuité des activités
touchées, des impacts sur l’organisme et de l’opportunité du risque). Pour chacun des risques, il
convient de lister les indicateurs, les responsables et les plans de continuité associés ainsi que les
conditions d’escalade.
La procédure d’escalade permet d’activer les procédures relatives à l’échelon supérieur quand
l’évènement échappe au contrôle de l’organisme.
La procédure d’escalade pointe sur l’annuaire de plan de continuité et devrait être à disposition de la
cellule de veille.
Au sein de l’organisme, la cellule de veille évalue les dégâts et, en fonction du risque et des plans de
continuité à mettre en œuvre, alerte les têtes de déclenchement. Selon le niveau de continuité associé
au risque, la cellule de veille alerte le responsable du plan de continuité concerné (en cas d’incident)
ou le comité de crise. Ces derniers sont alors responsables du déclenchement et de la coordination
des plans. Habituellement, ces acteurs font partie de la chaîne fonctionnelle SSI (Haut fonctionnaire
de défense – Fonctionnaire de sécurité des systèmes d'information – Responsables de sécurité des
systèmes d'information…). Ils ont la charge d’alerter l’ensemble des équipes opérationnelles
concernées et les responsables des plans de continuité dépendants.
Le comité de gestion de continuité est chargé d’apprécier les impacts sur l’organisme en cas de perte
de la continuité des activités. Il définit la stratégie de recouvrement des risques et l’organisation à
mettre en œuvre en cas d’incident ou de crise.
Il est composé du comité de direction, des responsables économiques, de la chaîne fonctionnelle SSI
et d’experts techniques.
Il est chargé de coordonner les actions de construction de l’ensemble des plans de continuité.
En cas de crise, le comité de gestion de continuité doit prendre toutes les mesures nécessaires pour
s’assurer de la bonne exécution des plans déclenchés au sein de son organisme. Des moyens de
communications avec le comité de crise doivent être prédéfinis et garantis.
La cellule de veille centralise toutes les remontées d’évènements. Elle peut être alertée par le bureau
informatique, un utilisateur, le gardien ou le responsable des moyens généraux. Par ailleurs, des outils
automatiques (signaux d’alarme par exemple) ou informatiques (base SNMP, sonde réseau,
supervision des journaux systèmes, sniffer…) peuvent être utilisés pour automatiser la remontée des
informations.
Comme l’indique l’[ISO 17799], les procédures de remontées d’alertes doivent être formalisées afin de
réduire les temps de réaction. Lors d’un évènement la cellule de veille doit :
évaluer les dégâts,
classifier l’événement,
remonter l’information aux personnes concernées.
Le gestionnaire d’incidents gère la continuité des activités lorsque l’organisme fonctionne de manière
nominale. Sur la base des informations communiquées par la cellule de veille, le gestionnaire
d’incidents réalise les actions suivantes :
identifier la procédure d’escalade correspondante,
identifier le ou les plans de continuités concernés,
alerter le ou les responsables des plans,
suivre la mise en œuvre des plans.
Les activités du gestionnaire d’incidents peuvent être assurées par la cellule de veille.
Le responsable d’un plan de continuité est chargé de construire le plan de continuité visant à réduire
les impacts d’un risque sur une activité essentielle, à assurer une continuité de service tout au long de
l’événement à un niveau dégradé acceptable et à restaurer le service au niveau nominal.
En amont, il s’assure de l’efficacité des procédures définies dans le plan :
maintenir le plan à jour à chaque changement du contexte,
tester une partie ou la totalité du plan,
mettre à jour le plan après un retour d’expérience.
En cas d’incident, le responsable du plan de continuité est alerté par le gestionnaire d’incidents (ou
directement la cellule de veille).
En cas de crise, le plan de continuité est activé à la demande du comité de crise en fonction des
évènements.
Le responsable prend alors la responsabilité de mettre en œuvre les plans à activer dont il a la
charge.
Un ensemble d’étapes est nécessaire avant l’activation d’un plan :
analyser la situation sur la base des informations récoltées par la cellule de veille,
vérifier les points de contrôles.
Lorsque le plan est activé, le responsable du plan de continuité procède aux actions suivantes :
vérifier les conditions de mise en œuvre du plan,
estimer les procédures du plan à mettre en œuvre et les acteurs à alerter,
lancer les procédures,
activer la cellule de coordination éventuelle et les équipes opérationnelles,
o Alerter les acteurs
o Transmettre des actions à réaliser adaptée au contexte
o Indiquer éventuellement des postures spécifiques à adopter
o Demander d’un accusé réception
coordonner et superviser l’application du plan,
o Demander régulièrement un état courant de la situation
o Vérifier régulièrement l’état d’avancement du traitement de la situation
o S’assurer de la bonne communication entre les acteurs
en interne,
avec l’extérieur.
rendre compte à la hiérarchie, à la chaine fonctionnelle SSI, à travers la cellule de veille
ou le comité de crise, de l’évolution des travaux,
alerter les responsables des plans de continuité dépendants.
Le responsable du plan de continuité peut être assisté par une cellule de coordination afin de piloter
les différentes actions réalisées par les équipes opérationnelles.
Il est conseillé de désigner un responsable d’un plan de continuité par activité essentielle de
l’organisme. Cela permet de regrouper les différents plans de continuité propre à une activité
essentielle sous une responsabilité unique (et son remplaçant). Il peut en effet être nécessaire
d’activer plusieurs plans de continuité sollicitant des équipes opérationnelles support ou métier
(informatique, télécommunication, logistique, ressources humaines…) afin d’assurer la continuité d’un
service essentiel.
Le pilotage des opérations de continuité peut être confié à une cellule de coordination, dirigée par le
responsable du plan de continuité concerné. Cette cellule décharge le gestionnaire d’incidents et le
comité de crise des tâches de coordination avec les équipes opérationnelles chargées de la mise en
œuvre des procédures.
Certaines décisions peuvent lui être déléguées par le comité de crise comme l’anticipation du
déclenchement de certains dispositifs ou plans d’action.
La cellule est constituée à la demande du comité de crise en fonction des évènements, mais
également dans le cas d’un incident, en fonction d’un processus d’escalade. Le responsable du plan
de continuité, alerté par la cellule de veille, est en charge de la création de la cellule de coordination
dont il prend la direction et du déclenchement de son plan de continuité.
Le responsable des moyens généraux gère les moyens de soutien communs à l’ensemble des
activités métier de l’organisme tels que l’électricité, le chauffage, le système de climatisation, la
disponibilité des locaux…. Il est souvent responsable du contrôle d‘accès physique.
Le responsable des moyens généraux peut-être chargé de la gestion et du maintien en condition
opérationnel des ressources nécessaires à la mise en œuvre des mesures et plans de continuité des
activités.
En cas d’incident ou de crise, il a à charge l’évaluation des dégâts relatifs aux moyens sous sa
responsabilité et l’alerte de la cellule de veille.
En fonction de la procédure d’escalade et de l’annuaire des plans de continuité, le responsable des
moyens généraux peut être sollicité par la cellule de coordination afin de réaliser un ensemble
d’actions relatives à un ou plusieurs plans de continuité.
Selon la mesure Journalisation des faiblesses de sécurité du chapitre 13 de l’[ISO 17799], les
utilisateurs sont chargés d’alerter la cellule de veille en cas d’incident ou de crise.
Les procédures de remontées d’alerte doivent être connues de tous et l’annuaire doit être accessible
facilement.
En fonction de la procédure d’escalade et de l’annuaire des plans de continuité, les utilisateurs
peuvent être sollicités par la cellule de coordination afin de réaliser un ensemble d’actions relatives à
un ou plusieurs plans de continuité, par exemple :
organisation du redémarrage (normal ou dégradé),
mise en place de procédures de contournement éventuelles,
organisation de travaux exceptionnels,
tâches d’attente du secours.
Les utilisateurs doivent être sensibilisés aux plans de continuité qui les concernent, ainsi que sur la
procédure d’alerte (les coordonnées de la cellule de veille, les indicateurs les concernant…).
Le centre de gestion de crise est un site où le comité de crise se réunit afin coordonner la gestion de
la crise.
Il est situé dans un périmètre suffisamment proche de l’environnement ciblé afin de faciliter la
communication avec les responsables des plans de continuité activés et faciliter les déplacements,
mais ne doit pas être adjacent à celui-ci pour ne pas être sujet aux mêmes évènements. En cas de
sensibilité de l’organisme, sa localisation peut être tenue secrète.
Il doit être muni des équipements de communication adéquats permettant la coordination et la mise en
place des plans de continuité. Les moyens de communication doivent être maintenus vers les clients,
les fournisseurs et les partenaires.
Le site alternatif est un site opérationnel permettant d’assurer la continuité des activités essentielles
de l’entreprise en cas de crise. Il est constitué des serveurs de secours et d’une infrastructure
permettant d’assurer les activités critiques de l’entreprise à un niveau de dégradation défini dans le
plan de continuité.
La direction, au cours de la rédaction du BIA doit identifier et hiérarchiser les activités devant être
assurées en toute circonstance. Il convient d’identifier la liste des moyens techniques à mettre en
œuvre en fonction des activités identifiées comme essentielles au sein des plans de continuité relatif à
l’activation du site alternatif.
Le site alternatif doit être suffisamment éloigné de l’organisme pour ne pas être sujet aux mêmes
évènements et suffisamment près pour limiter les inconvénients liés aux déplacements et aux
échangent de données. Par ailleurs, sa localisation doit rester secrète, notamment en cas de grève.
Il doit être muni des équipements de communication adéquats permettant le maintien des activités
économiques de l’organisme et de sa communication.
Les possibilités de renforcement du personnel, les moyens de mobilisation du personnel, la possibilité
de faire du télétravail et les extensions de délégation de signature doivent être recensés en cas
d’activation du site alternatif.
Il doit exister une mallette au format papier et électronique regroupant tous les documents
nécessaires à l’armement du comité de crise et du site alternatif.
Annexes
Annexe 1 – Glossaire
Acceptation du risque Décision d'accepter un risque traité selon les critères de risque.
[EBIOS]
(risk acceptance)
Cellule de coordination Le pilotage des opérations de continuité peut être confié à une
cellule de coordination, dirigée par le responsable du plan de
continuité concerné. Cette cellule déchargera le comité de crise
des tâches de coordination entre les équipes opérationnelles
déclenchées.
Centre de gestion de crise Site où le comité de crise se réunit afin de gérer la crise.
disponibilité ;
intégrité ;
confidentialité
Délai de reprise Période maximale de temps acceptable d’un arrêt d’une activité
économique de l’entreprise, avant le retour en mode nominal.
(Recovery Time Objective –
RTO)
gérer la facturation ;
un algorithme de chiffrement ;
Exemples :
virus ;
utilisateurs ;
développeurs ;
Entité Il s'agit d'un bien qui peut être de type organisation, site,
personnel, matériel, réseau, logiciel, système. [EBIOS]
(entity)
Exemples :
société d'infogérance ;
locaux de l'organisme ;
administrateur système ;
micro-ordinateur portable ;
Ethernet ;
système d'exploitation ;
portail de téléprocédure ;
Exemples :
Gestion de la continuité des Gestion des processus visant à identifier les impacts potentiels
activités des menaces sur un organisme et à fournir à l’organisation une
structure, des moyens et des procédures pour lui permettre de
(Business Continuity maintenir ses activités essentielles en cas d’incident ou de crise
Management – BCM) à un niveau acceptable.
Exemples :
- un message ;
- une liste de noms ;
- une requête de certification ;
- liste de révocation ;
- …
Menace Attaque possible d'un élément menaçant sur des biens. [EBIOS]
(threat) Exemples :
Mesure de sécurité Moyen destiné à améliorer la sécurité, spécifié par une exigence
de sécurité et à mettre en œuvre pour la satisfaire. Il peut s'agir
piégeage du logiciel ;
écoute passive ;
crue ;
Niveau de reprise Niveau acceptable du service fourni lors ou après une remise en
service après une crise. Il constitue une dégradation du niveau
(Recovery Scope Objective – accepté de service (SLA).
RSO)
Point de reprise Point dans le cycle de vie des données qu’il convient de
restaurer. Il aide à définir la politique de back up, le degré de
(Recovery Point Objective – « perte d’informations » que l’organisme considère comme
RPO) acceptable.
Responsable des moyens Personne ayant à charge la gestion des moyens de soutien
généraux communs à l’ensemble des activités métier de l’organisme.
Exemples :
Système d'information (SI) Ensemble d'entités organisé pour accomplir des fonctions de
traitement d'information. [EBIOS]
(information system)
Transfert du risque Partage avec une autre partie de la charge de la perte d'un
risque particulier. [EBIOS]
(risk transfer)
Exemples :
Exemples :
Annexe 2 – Acronymes
BCM Business Continuity Management
SI Système d’Information
Phase 1 : Planifier
La mesure Inclure la sécurité du système d’information dans les processus de gestion de la continuité
du chapitre 14 de l’[ISO 17799] liste les différents processus nécessaires à la mise en place d’une
gestion de la continuité dans l’organisme. L’ensemble de ces concepts est repris ci-dessous.
Dans un premier temps, il s’agit d’identifier les caractéristiques de l’organisme et du système étudié
ainsi que le périmètre de l’étude afin de mettre en évidence les activités critiques de l’organisme et
d’adopter à terme une gestion de risques adaptée. L’étape 1, Étude du contexte, de la méthode
[EBIOS] permet de réaliser cette activité.
La direction doit ensuite exprimer un besoin en continuité pour chaque activité critique identifiée, selon
son niveau de criticité. Il existe différentes approches pour exprimer un besoin de continuité.
Il est possible d’utiliser une échelle spécifique à la continuité définissant un niveau de dégradation
(Recovery Status Objective, RSO), un délai reprise (Recovery Time Objective, RTO) et un point de
reprise (Recovery Point Objective, RPO) acceptables pour l’organisme.
Une autre approche consiste à exprimer un niveau de sécurité acceptable en fonction des 3 critères
de sécurité les plus usités pour la gestion de risques (disponibilité, intégrité, confidentialité) vis-à-vis
d’impacts liés à la continuité de l’organisme. En effet, la gestion de la continuité n’est pas limitée à un
besoin en disponibilité des activités. Une infraction aux lois et règlement par exemple porte atteinte à
la continuité de l’organisme mais ne constitue pas un problème en disponibilité. Il existe au sein de la
méthode [EBIOS] une liste d’impacts sur la continuité tels que l’incapacité à fournir le service,
perturbation du fonctionnement interne, impossibilité à fournir les obligations contractuelles...
Cette activité permet aux décideurs d’identifier les impacts sur l’organisme en cas d’incident ou de
crise et les niveaux de service acceptables et se traduit par un livrable appelé Business Impact
Analysis (BIA).
L’étape 2, Expression des besoins de sécurité, de la méthode [EBIOS] permet d’exprimer des besoins
en continuité sur la base d’une échelle adaptée en fonction d’impacts liés à la continuité.
Les menaces sur le système sont identifiées avec leurs niveaux d’opportunité. L’étape 3, Étude des
menaces, de la méthode [EBIOS] permet de réaliser cette activité.
Une fois l’ensemble des menaces sur le système identifiées, l’appréciation permet d’identifier les
véritables risques sur la continuité des activités de l’organisme. Cette activité se déroule en 2 étapes
successives, l’analyses et l’évaluation des risques.
L’analyse des risques permet dans un premier temps de faire apparaître les risques portant atteinte à
la continuité de l’organisme. Pour cela, les menaces sur le système sont confrontées aux besoins en
continuité exprimés pour chaque activité critique. Il convient donc de rédiger les risques en précisant
leurs atteintes sur la continuité des activités critiques, leurs impacts potentiels sur l’organisme.
Le risque est un évènement qui, selon sa nature (incidents ou crise) peut entraîner un impact plus ou
moins grand sur la continuité de l’organisme.
La méthode de gestion des risques [EBIOS] permet de mettre en œuvre la mesure Continuité des
activités et évaluation des risques du chapitre 14 de l’[ISO 17799]. En effet, la méthode [EBIOS]
permet d’évaluer les risques liés à la continuité. Les risques peuvent être hiérarchisés en fonction de
leurs atteintes sur la continuité des activités, leurs impacts sur l’organisme ainsi que sur le niveau
d’opportunité des menaces. Des priorités peuvent ainsi être spécifiées par risque.
La politique de traitement des risques est facilitée par l’évaluation des risques qui présente permet de
hiérarchiser les risques selon leurs opportunités, leurs atteintes sur la continuité des activités et
l’impact sur l’organisme. Les décideurs ont ainsi l’ensemble des informations nécessaires à la prise de
décision. Une définition claire de la politique de traitement de chacun des risques et des plans de
continuité associés est alors réalisée :
1. refus du risque,
2. optimisation du risque,
3. transfert du risque,
4. prise de risque.
Un plan de traitement des risques doit être validé par les décideurs.
Les risques ayant un impact majeur sur la continuité de l’organisme et ayant un niveau d’opportunité
élevé sont traitées en en premier.
Les risques acceptés constituent des risques résiduels. Les décideurs prennent la responsabilité de
ne pas couvrir ces risques, au vu de leurs impacts sur la continuité de l’organisme et de leur
opportunité.
Il convient à cette étape de définir pour chacun des risques retenus un ensemble de mesures.
Ces mesures peuvent être issues de différents référentiels SSI comme [PSSI], l’[ISO 17799]….
La couverture du risque permet d’intervenir sur toutes les composantes du risque par le biais de
mesures de sécurité mises en œuvre avant, pendant et après l’événement.
Avant l’événement :
Mesures de prévention (réduction des impacts) :
o Mise en place d’une organisation de gestion d’incident et de crise
o Sensibilisation de l’ensemble des acteurs
o Formation aux outils informatiques
Mesures de protection (réduction des vulnérabilités)
Au cours de l’événement :
Mesures de réaction (réduction des impacts) :
o Procédures d’urgences,
o Solutions alternatives,
o Plan de communication
Les mesures de prévention et de protection sont employées dans la gestion de risques SSI.
Par contre, les mesures de réaction sont spécifiques à la gestion de la continuité des activités et
constituent les plans de continuité.
L’ensemble des mesures est référencé dans la Politique de Sécurité des Systèmes d’Information
(PSSI) de l’organisme. Les plans de continuité ne constituent qu’un chapitre de la PSSI.
Dans la suite du document, nous allons nous intéresser plus particulièrement aux activités liées à
l’élaboration des plans de continuité.
Le Plan de Continuité des Activités (PCA) est un document « chapeau » qui référence l’ensemble des
documents permettant la gestion de la continuité au sein de l’organisme. Il référence ainsi l’ensemble
des plans de continuité (cf. chapitre 4 Le référentiel de la gestion de la continuité).
Un risque peut être couvert par un ou plusieurs plan de continuité et un plan de continuité peut couvrir
un ou plusieurs risques. Le plan de continuité constitue une mesure de réaction à activer lorsque le ou
les risques auxquels il est rattaché surviennent (cf. chapitre 6.5. Les plans de continuité).
En effet, les procédures d’escalade référencent l’ensemble des risques (incident ou crise) par niveau
de continuité, les plans de continuité associés et les conditions de déclenchement (cf. chapitre 4.8 Les
procédures d’escalade).
Le traitement des risques liés à la continuité par la méthode [EBIOS] prévoit une démonstration de
couverture. Les risques sont couverts par un ensemble de mesures et de plans de continuité. En cas
de couverture partielle, les risques résiduels sont alors mis en évidence. Le décideur, au vu des
composantes du risque non couvert, possède l’ensemble des informations nécessaires à la prise de
décision.
Cette démarche de planification se rapproche du rapport du député M. LASORDES qui définit qu’
après avoir défini, sans se préoccuper des moyens associés et du système d'information, les activités
qu’il considère comme sensible, l’organisme identifie toutes les composantes qui y contribuent
(ressources humaines, produits, ressources informatiques, etc.). Puis il définit des modes opératoires
permettant de contourner la difficulté rencontrée.
Les mesures de sécurité définies dans la PSSI sont mises en œuvre et sont maintenues à jour en
prenant en compte les moyens et l’organisation définis dans la stratégie de l’organisme.
La formation et la sensibilisation des acteurs est une mesure de prévention de la PSSI jugée
importante dans la gestion de la continuité.
Le développement d’une culture de gestion de la continuité des activités est primordial et peut être
déterminant en cas d’incident ou de crise, pour permettre une optimisation des réactions des
personnes concernées.
L’ensemble du personnel doit être sensibilisé à la gestion de la continuité et doit connaître son rôle et
les ressources à mettre en œuvre dans chacun des plans auxquels il est impliqué. Les acteurs doivent
être formés aux outils déployés pour la gestion de la continuité, tels que l’annuaire, les procédures
d’escalade, l’outil de veille et/ou le tableau de bord SSI, les outils de pilotages…
La rédaction de la PSSI et des plans de continuité permet d’impliquer et de sensibiliser les acteurs, de
mettre en place une organisation de gestion de la continuité.
Les tests et les audits participent également au développement de la culture continuité. Ils doivent être
réalisés avec l’ensemble des personnes concernées (Responsable du plan, cellule de coordination et
équipe opérationnelle).
Les plans de continuité des activités, les ressources et l’organisation définies dans la stratégie sont
mises en œuvre afin de gérer la continuité des activités de l’organisme.
L’annexe 9 décrit les interactions entre acteurs en cas d’incident ou de crise.
Une fois les mesures et les plans de continuité permettant la réduction des risques définis, il convient
d’identifier et de déployer les ressources nécessaires à leur mise en œuvre.
Une stratégie relative aux ressources nécessaires à la gestion de la continuité est notamment mise en
place afin de s’assurer qu’en cas d’incident ou de crise, les différents moyens mis en œuvre dans les
plans sont directement opérationnels.
Au-delà d’une structure classique de gestion de risques SSI, une structure organisationnelle, des
ressources et un centre opérationnel sont mis en place pour assurer la continuité des activités de
l’organisme à un niveau minimum acceptable en cas d’un incident ou de crise. (cf. chapitre 5
Organisation dans la gestion de la continuité).
Pour chaque plan de continuité, une structure organisationnelle sur trois niveaux est mise en place :
niveau stratégique,
o Comité de gestion de la continuité des activités
o Comité de gestion de crise
niveau coordination,
o Responsables du plan de continuité (Représentant de l’activité de l’organisme)
o Cellule de coordination
niveau opérationnel.
o Équipe opérationnelle
Des tableaux de bords (cf. chapitre 4.5 Le tableau de bord) de niveaux opérationnels, pilotages et
stratégiques sont mis en place sur la base des indicateurs définis à l’activité précédente.
Ces tableaux de bords permettent de suivre à tous les échelons de l’organisation la mise en œuvre
des mesures et l’élaboration des plans.
Phase 3 : Vérifier
Les tests doivent être réalisés régulièrement pour vérifier l’efficacité des mesures et plans de
continuité. Ils peuvent couvrir une partie ou l’ensemble du plan.
Le suivi des tests est réalisé par le responsable du plan de continuité. Ce dernier doit notamment
s’assurer de la validité des informations contenues dans le plan. En effet certaines informations
peuvent évoluer au cours du temps (informations personnelles, téléphone, adresse, ressources,
réglementation, sous-traitant, fournisseurs…).
Par ailleurs, il doit gérer la maintenance des ressources nécessaires au déploiement des plans de
continuité.
Par ailleurs, des exercices impliquant différents plans de continuité doivent être réalisés régulièrement
afin de parfaire le dispositif, sensibiliser l’organisme et valider les procédures.
Ils impliquent l’ensemble des acteurs sur la base de scénarios prédéfinis afin de tester la réactivité de
l’organisme sur l’ensemble des processus de gestion de la continuité :
activation et de suivi des plans de continuité,
mise en place d’une organisation de crise,
basculement sur le site alternatif,
…
Les exercices doivent d’abord permettre de réduire les délais de réaction et de déploiement des plans
de continuité et de sensibiliser l’ensemble des acteurs aux processus nécessaires à la gestion
d’incident ou de crise. L’objectif des exercices est de roder l’ensemble des procédures, tant
opérationnelles que techniques. Ils permettent de tester la réactivité et le bon comportement des
personnes concernées face à une alerte.
La réalisation et le suivi des exercices sont sous la responsabilité du comité de gestion de la
continuité.
A l’issue, un ensemble d’améliorations doit être identifié.
Différents types de tests sont notamment définis par l’[ISO 17799] :
a. vérification de l’efficacité des mesures face à différents scénarios,
b. simulations, formation des acteurs à la gestion d’un incident ou d’une crise,
c. tests techniques pour s’assurer de l’efficacité des moyens mis en œuvre dans les plans,
d. test de basculement sur un site alternatif,
e. essai des équipements et des services fournisseurs,
f. exercice grandeur nature permettant de tester l’organisation, les équipements, les services et
les processus permettant de faire face à une interruption de service.
Il est très important de promouvoir une culture d’évaluation et de retour d’expérience au sein de
l’organisme.
Après chaque événement critique, une fois que l’organisme est revenu à un fonctionnement normal, il
convient de réunir l’ensemble des intervenants pour identifier des axes d’amélioration. Un retour
d’expérience des acteurs concerné permet de mettre à jour les plans de continuité, les ressources et
l’organisation. Il peut être judicieux de faire une sensibilisation autour de l’événement au sein de
l’organisme, qui serait plus parlant qu’un discours théorique dans la mesure où il a été vécu par le
personnel.
Après chaque audit, test et exercice, une mise à jour des mesures et des plans de continuité doit être
réalisée.
Des tableaux de bord (cf. 4.4 Le tableau de bord) de niveaux opérationnels, pilotages et stratégiques
sont mis en place sur la base des indicateurs définis au préalable.
Ces tableaux de bords permettent de mesurer à tous les échelons de l’organisation le niveau de
continuité des activités de l’organisme.
Vérifier régulièrement l’appréciation des risques, ainsi que le niveau de risque résiduel et du risque
acceptable
Par ailleurs, il est conseillé qu’une entité indépendante réalise régulièrement un audit SSI de
l’organisme en prenant en compte les aspects continuité. L’audit permet dans un premier temps de
vérifier que les risques identifiés dans le BIA sont pertinents et que les mesures et plans de continuité
planifiés sont adaptés. Ensuite, l’audit consiste à vérifier si les mesures organisationnelles et
techniques sont effectivement mises en place.
Dans le cadre d’une homologation d’un système, l’autorité responsable s’appuie sur le résultat de
l’audit pour juger du niveau de risque.
Mettre à jour les plans de sécurité pour prendre en compte les résultats des actions précédents
Les mesures et plans de sécurité sont mis à jour par rapport aux audits, aux tests et exercices, aux
retours d’expérience ainsi que la réévaluation des risques.
Phase 4 : Améliorer
Le recensement des événements (incident, crise), les retours d’expériences et la réévaluation des
risques permettent d’identifier les axes d’améliorations.
La rédaction des risques en mettant en avant les activités critiques concernées et l’impact sur la
continuité de l’organisme permet de sensibiliser les acteurs.
Il convient de définir des indicateurs permettant de s’assurer que les objectifs ont été mis en œuvre.
Un plan de continuité permet de déclencher un ensemble de procédures ayant pour objectif réduire
l’impact d’un événement.
Un plan de continuité peut comporter 3 types de procédures :
Les procédures d’urgences (ou fiches réflexes)
Procédures permettant, une fois la situation stabilisée par d’assurer la continuité de l’activité une
solution alternative à un niveau de reprise acceptable (RSO), préalablement défini dans l’analyse
des impacts d’activité (BIA).
Les procédures de restauration
Ces procédures réalisées après l’incident ou la crise, permettent de revenir au niveau normal de
fonctionnement de l’activité. Ces actions doivent être mises à jour régulièrement en fonction des
tests, audits, et dans le cas où la cible changerait au cours du temps et que le BIA est redéfini.
Le schéma suivant décrit le déclenchement des différents types de procédures relatives à un plan de
continuité au cours du temps.
Plan de continuité
Niveau de l’activité
T0 T1 T2 T3
Niveau nominal
Niveau de service
acceptable
Légende
T0 : Événement (Incident ou crise)
T1 : Procédures d’urgence
T2 : Solutions alternatives
T3 : Mesures de restaurations
Procédures d’escalade
Contrôles à effectuer
Conditions d’activation du plan
Indicateurs
Les acteurs
Responsable du plan de continuité
Suppléant
Comité de crise
Cellule de coordination
Équipe opérationnelle
Contacts externes
Police/Mairie…
Fournisseurs
Clients
Presse
Procédures
Procédures d’urgence Mesures Ressources Acteurs
Dans le domaine de la SSI, les plans de continuité les plus utilisés sont :
le plan de restauration des activités économiques,
Procédures définissant les restaurations d’activés économiques après un incident ou une crise. Il
est également appelé BRP (Business Recovery Plan).
le plan de continuité métier,
Le plan de continuité métier définit les procédures alternatives (par exemple au format papier) à
mettre en œuvre pour assurer des fonctions métiers critiques de l’organisme au cours d’un
incident ou une crise pendant laquelle le SI n’est plus disponible.
le plan d’urgence,
Procédures à mettre en œuvre immédiatement après l’alerte d’incident ou de crise permettant de
stabiliser la situation afin de réduire les impacts du risque.
le plan de secours informatique et de télécommunication,
Procédures permettant d’atténuer les impacts sur les systèmes d’information par exemple après
un acte de malveillance.
le plan de communication de crise interne et externe,
Le plan de communication est composé d’une communication interne pour le personnel et d’une
communication externe pour le public, les clients, les fournisseurs, les autorités gouvernementales
afin de faciliter la circulation des informations en interne et de faire taire les rumeurs. Les
procédures du plan de communication de crise doivent être coordonnées avec tous les autres
plans. Des trames pour la presse peuvent être rédigées dans le plan.
le plan de gestion de crise,
Le plan de gestion de crise se concentre sur la restauration des fonctions essentielles de
l’organisation à partir du centre de gestion de crise et du site alternatif et exécute ces fonctions
jusqu’à 30 jours avant de revenir à une situation normale. Ce plan concerne les missions de
l’organisation jugées les plus critiques et ne se concentre pas sur les technologies de
l’information. Ce plan prend en compte les procédures nécessaires à la mise en place du centre
de gestion de crise et éventuellement du site alternatif.
le plan de recouvrement de crise.
Le plan de recouvrement de crise se concentre sur les technologies de l’information. Il se limite
aux crises majeures nécessitant une relocalisation et ayant des effets à long terme. Ce plan
fournit des procédures détaillées pour faciliter le recours à des ressources d’un site alternatif. Il est
activé après un incident, le temps de retrouver une situation normale.
Procédures permettant d’assurer la sécurité et l’évacuation du personnel en cas de risque sur leur
santé tel qu’un incendie, une inondation, une urgence médicale, une attaque virale…
le plan relatif à la propriété.
Procédures permettant de couvrir un risque portent atteinte à la propriété du personnel tel qu’une
attaque criminelle, un vol, une grève…
Le tableau suivant indique la(les) période(s) lors de laquelle chaque plan est activé :
Pendant
Après
Plans
Annexe 6 – L'annuaire
L’annuaire doit contenir des informations sur les utilisateurs internes à l’organisme mais également
sur l’ensemble des acteurs externes susceptibles de jouer un rôle dans la gestion de la continuité des
activités comme les prestataires, les fournisseurs, les clients, les pompiers, le SAMU, la police, la
mairie, la préfecture pour les ministères, les opérateurs de services publics...
L’annuaire contient des informations sensibles. Cependant, la gestion de la continuité des activités
nécessite une publication de l’annuaire à l’ensemble des acteurs. Il est donc recommandé de ne
mettre dans l’annuaire que les informations strictement nécessaires.
Il peut être intéressant au sein de l’annuaire d’identifier pour chacun des acteurs :
la proximité de son domicile vis-à-vis de son lieu de travail,
la disponibilité d’un véhicule personnel,
la disponibilité prévisible en cas de fermeture des établissements scolaires,
sa capacité à utiliser le réseau Internet depuis son domicile (télétravail),
ses compétences au regard des missions et fonctions prioritaires à assurer, notamment
en cas d’activation du site alternatif,
les postes qu’il pourrait occuper dans une situation dégradée.
La cellule de veille est chargée de classifier l’incident, de donner l’alerte et d’identifier les acteurs
concernés en cas d’incident ou de crise. Elle aura quelques difficultés en évaluant les dégâts à
identifier le scénario complet du risque que l’organisme est en train de subir. Seul une partie du risque
sera visible, comme par exemple les entités concernées (serveur, pare-feu, salle machines…), les
impacts (perturbation du réseau, incapacité à rendre le service…), cependant, la vulnérabilité
exploitée ou l’élément menaçant ne seront peut être pas clairement identifiés. Une recherche multi
critères sur l’annuaire, par composante du risque, permettrait d’identifier les risques potentiellement
concernés et les plans de continuité susceptibles de correspondre à l’événement subi.
Proformae d'annuaire
Il est important de spécifier pour chaque acteur les rôles au sein de l’organisation de crise, et pour
chaque plan de continuité auquel il est rattaché.
La présence d’une ligne téléphonique fixe ou d’un poste de messagerie n’étant pas garantie, les
coordonnées doivent indiquer les différents moyens de communication afin de pouvoir joindre
efficacement les acteurs en cas d’incident ou de crise.
Une entrée de l’annuaire peut correspondre parfois non pas à une personne mais à une fonction,
notamment dans le monde militaire.
Chaque acteur est décrit par une fiche contenant les informations suivantes :
Fiche personnel
Civilité Nom Prénom Nom complet Grade
Téléphonie
Moyen clair
Téléphone Fixe Téléphone mobile Télécopie
Moyen chiffrant
Téléphone Fixe Téléphone mobile Télécopie
Moyens spéciaux
Téléphone fixe Téléphone mobile Téléphone par Téléphone sur RIM Visioconférence
personnel personnel satellite
Messagerie
Messagerie Internet Messagerie Intranet Messagerie formelle Adresse télégraphique
Web
Site Web sur internet Site Web sur intranet
Rôle
Nom du plan de Rôles dans le plan Suppléant Domaine d’expertise Planning
continuité de continuité ou d’intervention d’astreinte et de
permanence
Rôles en temps de crise
Organisation
Nom de l’organisme Nom du service Secteur d’activité Fonction dans le service
Responsable hiérarchique Adjoint Adresse Couverture géographique
Un indicateur est constitué d’un ensemble de données sources sur la base desquelles peuvent être
définis un calcul et une représentation graphique. Des valeurs cible et seuil ainsi qu’une plage de
tolérance facilitent l’interprétation de l’indicateur par la personne ayant la responsabilité d’activer les
plans de continuité associés.
Les indicateurs peuvent être de nature différente. La suite du chapitre présente, par type d’indicateur
le rôle de chaque acteur par niveau hiérarchique.
1. Niveau opérationnel
Plusieurs équipes opérationnelles peuvent être nécessaires pour mettre en œuvre une
mesure amont ou élaborer un plan de continuité. Chaque équipe est alors chargée de tenir
informé le niveau pilotage des actions dont ils ont la charge.
2. Niveau pilotage
Sur la base des indicateurs de niveau opérationnel, le responsable des mesures PSSI et les
responsables des plans de continuité supervisent l’avancement des différentes équipes
concernées.
Les responsables des plans de continuité doivent tenir informé le comité de crise et le
gestionnaire des plans de continuité de l’évolution de la construction du PCA en alimentant
des indicateurs de niveau pilotage.
3. Niveau stratégique
1. Niveau opérationnel
2. Niveau pilotage
Ils alimentent des indicateurs de niveau de pilotage permettant au gestionnaire des plans de
continuité et au comité de crise de percevoir l’efficacité du SGCA en vue d’améliorer les
processus, les mesures, les plans… Par exemple, lorsqu’un incident apparait trop fréquent, il
peut s’avérer pertinent de mettre en œuvre une mesure de protection plutôt qu’un plan de
réaction.
3. Niveau stratégique
1. Niveau opérationnel
Il est conseillé de définir les indicateurs de niveau opérationnels sur la base d’objectifs
exprimant la volonté de couverture d’un risque technique, physique ou organisationnel. Les
données sources peuvent être alimentées par des techniciens à partir de remontées de
journaux. La cellule de veille en est le destinataire.
2. Niveau pilotage
La cellule de veille est en charge de surveiller les indicateurs de niveau pilotage et alerte, en
fonction de l’événement, le gestionnaire d’incident ou le comité de crise.
Les responsables des plans de continuité peuvent alimenter les indicateurs de niveau pilotage
pour tenir informé le gestionnaire d’incident ou le comité de crise de l’évolution de la situation.
Cependant, il est difficile de suivre une crise sur la base d’un tableau de bord. L’utilisation d’un
tableau de bord n’apparaît réaliste qu’une fois le niveau de service acceptable assuré. Il
permet dans ce cadre de suivre le niveau de continuité par activité et l’évolution des
procédures de restauration.
3. Niveau stratégique
Les destinataires du tableau de bord SSI doivent être identifiés en amont afin de leur proposer un
tableau de bord adapté. De même, les responsables de l’indicateur et des données sources doivent
être impliquées au plus tôt afin de faire vivre l’indicateur.
Les indicateurs doivent être documentés et maintenus à jour au niveau des procédures d’escalade du
plan de continuité des activités (PCA).
Gestion du PCA
L’élaboration du plan de continuité des activités est une opération complexe nécessitant une charge
de travail importante de la part des acteurs concernés. Le schéma suivant présente les interactions
entre les différents acteurs nécessaires à la création et au maintient du PCA.
BIA
PCA
Enrichit /
Référence Cellule de
coordination
Responsable du Réalise Plan de continuité Définit /
plan de continuité Sensibilise
Équipes
opérationnelles
Utilisateurs
Centre de gestion
de crise
Si plan de crise,
définit
Comité de crise
Le schéma suivant présente les interactions entre acteurs nécessaires à la gestion d’un incident ou
d’une crise au sein d’un organisme.
Utilisateur
Gardien
Responsable des
moyens généraux
Incident Crise
Activation
Déclenchement d’un ou plusieurs plans
de continuité selon la procédure
d’escalade
Responsable du
plan de continuité
Équipes
opérationnelles
Club EBIOS
72 avenue Gaston Boissier
78220 VIROFLAY
contact[at]club-ebios.org
Identification de la contribution
Nom et organisme (facultatif) :
Adresse électronique :
Date :
Si oui :
Pensez-vous qu'il puisse être amélioré dans son fond ? Oui Non
Si oui :
Si oui :
Si non :
Précisez le domaine pour lequel il ne vous convient pas et définissez ce qui vous
aurait convenu :